Содержание
Цели:
- Шпионаж
Общее описание
Кибершпионская группировка TaskMasters, обнаружена в 2018 году специалистами PT Expert Security Center. Группа активна по меньшей мере с 2010 года. Среди атакуемых организаций — крупные промышленные и энергетические предприятия, государственные структуры, транспортные компании. Группировка атакует компании из разных стран, но большинство жертв находится в России и странах СНГ.
Инструменты
- Service utility
- RemShell downloader
- RemShell backdoor
- PhantomShell backdoor
- InteractiveShell backdoor
Атакуемые отрасли
- Промышленность
- Энергетика
- Государственные структуры
- Транспортные компании
Атакуемые страны
- Россия
- Монголия
- Вьетнам
- страны СНГ
Альтернативные названия группы
- BlueTraveller
Отчеты Positive Technologies и других исследователей
Тактики из MITRE ATT&CK, использованные группой
ID | Название | Описание |
---|---|---|
Execution | ||
T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Группа TaskMasters использует командную строку Windows для запуска команд |
T1053.005 | Scheduled Task/Job: Scheduled Task | Группа TaskMasters использует task scheduler для удаленного запуска утилит и ВПО |
T1569.002 | System Services: Service Execution | Группа TaskMasters использует сервисы для запуска основного пейлоада |
Persistence | ||
T1564.001 | Hide Artifacts: Hidden Files and Directories | Группа TaskMasters хранит свое ВПО в папке C:\Windows\Fonts. Через Проводник Windows в этой папке нельзя увидеть другие файлы, кроме шрифтов |
T1543.003 | Create or Modify System Process: Windows Service | Группа TaskMasters использует сервисы для закрепления в системе |
T1053.005 | Scheduled Task/Job: Scheduled Task | Группа TaskMasters использует задачи для закрепления в системе |
T1505.003 | Server Software Component: Web Shell | Группа TaskMasters использует веб-шеллы для закрепления в скомпрометированной сети |
T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Группа TaskMasters может закрепиться в системе через реестр или папку STARTUP |
Privilege Escalation | ||
T1078.002 | Valid Accounts: Domain Accounts | Группа TaskMasters использует скомпрометированные аккаунты администраторов для запуска ВПО с повышенными привилегиями и продвижения по сети |
Defense Evasion | ||
T1140 | Deobfuscate/Decode Files or Information | Основные конфигурационные настройки ВПО TaskMasters зашифрованы |
T1070.004 | Indicator Removal on Host: File Deletion | Группа TaskMasters удаляет утилиты с зараженной машины после периода активности |
T1564.001 | Hide Artifacts: Hidden Files and Directories | Группа TaskMasters хранит свое ВПО в папке C:\Windows\Fonts. Через Проводник Windows в этой папке нельзя увидеть другие файлы, кроме шрифтов |
T1070.006 | Indicator Removal on Host: Timestomp | Группа TaskMasters изменяет время создания своего ВПО и утилит в файловой системе, указывая более ранний период |
T1078.002 | Valid Accounts: Domain Accounts | Группа TaskMasters использует скомпрометированные аккаунты администраторов для запуска ВПО с повышенными привилегиями и продвижения по сети |
T1218.011 | Signed Binary Proxy Execution: Rundll32 | Группа TaskMasters использует rundll32.exe для запуска основного пейлоада |
Credential Access | ||
T1003.001 | OS Credential Dumping: LSASS Memory | Группа TaskMasters использует Mimikatz для сбора учетных записей |
T1056.001 | Input Capture: Keylogging | Группа TaskMasters использует учетные записи, собранные с помощью кейлоггера |
Discovery | ||
T1087.001 | Account Discovery: Local Account | Группа TaskMasters собирает информацию о пользователях посредством команд net user и net group |
T1083 | File and Directory Discovery | Группа TaskMasters собирает информацию о наличии файлов в системе по расширениям .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx |
T1046 | Network Service Scanning | Группа TaskMasters сканирует узлы в локальной сети |
T1135 | Network Share Discovery | Группа TaskMasters ищет в сети общие папки |
T1057 | Process Discovery | Группа TaskMasters собирает список процессов из зараженной системы |
T1082 | System Information Discovery | Группа TaskMasters собирает системную информацию с зараженной машины |
T1016 | System Network Configuration Discovery | Группа TaskMasters собирает информацию о сетевых параметрах зараженной машины |
T1049 | System Network Connections Discovery | Группа TaskMasters собирает информацию о сетевых соединениях зараженной машины |
T1033 | System Owner/User Discovery | Группа TaskMasters собирает информацию о пользователях скомпрометированной машины |
Lateral Movement | ||
T1210 | Exploitation of Remote Services | Группа TaskMasters эксплуатирует уязвимость MS17-010 для продвижения внутри сети |
Collection | ||
T1005 | Data from Local System | Группа TaskMasters собирает файлы с зараженных машин |
T1039 | Data from Network Shared Drive | Группа TaskMasters собирает файлы из общих папок |
T1056.001 | Input Capture: Keylogging | Группа TaskMasters собирает данные с зараженных компьютеров через кейлоггер |
T1560.001 | Archive Collected Data: Archive via Utility | Группа TaskMasters собирает украденные документы в защищенные архивы с помощью WinRar |
Command and Control | ||
T1071.001 | Application Layer Protocol: Web Protocols | Группа TaskMasters может использовать HTTPS для соединения с С2 |
T1573.001 | Encrypted Channel: Symmetric Cryptography | Группа TaskMasters использует RC4 для шифрования трафика |
T1105 | Ingress Tool Transfer | Группа TaskMasters загружает дополнительные утилиты с C2 |
Exfiltration | ||
T1041 | Exfiltration Over C2 Channel | Группа Taskmasters выгружает украденные файлы через С2 |